Linux中内核级加强型火墙的管理

于 2020-12-03 16:33:36 发布
阅读量111 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45777669/article/details/110539431
版权

文章目录

1、Selinux的功能

selinux:

对于文件的影响:
当selinux开启时,内核会对每个文件及每个开启的程序进行标签加载
标签内记录程序和文件的安全上下文(context)

对于程序功能的影响:
当selinux开启会对程序的功能加载开关,并设定此开关的状态为关闭
当需要此功能时需要手动开启功能开关
此开关叫做sebool

当Selinux未开启时

[root@localhost ~]# rm -fr /etc/vsftpd/vsftpd.conf.rpmsave
[root@localhost ~]# dnf remove vsftpd -y

[root@localhost ~]# dnf install vsftpd -y
[root@localhost ~]# dnf install lftp -y
[root@localhost ~]# systemctl enable --now vsftpd
[root@localhost ~]# vim /etc/vsftpd/vsftpd.conf 
anonymous_enable=YES
anon_upload_enable=YES
[root@localhost mnt]# systemctl restart vsftpd
[root@localhost ~]# getenforce
Disabled
[root@localhost ~]# cd /mnt
[root@localhost mnt]# touch westosfile
[root@localhost mnt]# mv /mnt/westosfile /var/ftp/
[root@localhost ~]# systemctl disable --now firewalld
[root@localhost mnt]# chgrp ftp /var/ftp/pub/
[root@localhost mnt]# chmod 775 /var/ftp/pub/
[root@localhost ~]# lftp 192.168.0.1   ## 可以查看和上传
lftp 192.168.0.1:/> cd pub/
lftp 192.168.0.1:/pub> ls
-rw-r--r--    1 14       50           1208 Jun 27 10:04 passwd
drwxr-xr-x    2 14       50              6 Jun 27 10:03 test
lftp 192.168.0.1:/pub> put /etc/adjtime 
16 bytes transferred

[root@localhost mnt]# touch /mnt/file
[root@localhost mnt]# ls -Z /mnt/file
? file
[root@localhost mnt]# ps axZ | grep vsftpd
-    root  8546  0.0  0.0  26952   408 ?  Ss 10:35  0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf
[root@localhost mnt]# vim /etc/selinux/config 
SELINUX=enforcing
[root@localhost mnt]# systemctl restart vsftpd
[root@localhost mnt]# reboot

当selinux开启:

[root@localhost ftp]# systemctl enable --now vsftpd
[root@localhost Desktop]# cd /mnt
[root@localhost mnt]# touch file1
[root@localhost mnt]# ls -Z file1    ##安全上下文   
unconfined_u:object_r:mnt_t:s0 file1

[root@localhost mnt]# mv file1 /var/ftp
[root@localhost mnt]# lftp 192.168.0.1    ##查看不到新建的文件 不能上传
lftp 192.168.0.1:~> ls                          
drwxrwxr-x    3 0        50             47 Jun 29 06:45 pub
-rw-r--r--    1 0        0               0 Jun 27 09:08 westosfile
lftp 192.168.0.1:/> cd pub/
lftp 192.168.0.1:/pub> put /etc/adjtime 
put: /etc/adjtime: Access failed: 553 Could not create file. (adjtime)

[root@localhost mnt]# ls /var/ftp 
[root@localhost mnt]# ps axZ | grep vsftpd  ##缺失的属性加载
system_u:system_r:ftpd_t:s0-s0:c0.c1023 1445 ?   Ss     0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 1467 pts/0 R+   0:00 grep --color=auto vsftpd

在这里插入图片描述

2、Selinux的状态及管理

[root@server1 mnt]# setenforce 0
[root@server1 mnt]# getenforce 
Permissive   ##警告  不允许访问的时候访问会被允许 并受到警告                       
[root@server1 mnt]# setenforce 1
[root@server1 mnt]# getenforce 
Enforcing    ##强制 不允许访问的时候访问会被拒绝 并受到警告  

[root@server1 mnt]# lftp 192.168.0.1
lftp 192.168.0.1:~> ls
drwxrwxr-x    3 0        50             47 Jun 29 06:45 pub
-rw-r--r--    1 0        0               0 Jun 27 09:08 westosfile
lftp 192.168.0.1:/> quit
[root@server1 mnt]# setenforce 0
[root@server1 mnt]# getenforce 
Permissive
[root@server1 mnt]# lftp 192.168.0.1
lftp 192.168.0.1:~> ls
-rw-r--r--    1 0        0               0 Jun 29 06:50 file1
drwxrwxr-x    3 0        50             47 Jun 29 06:45 pub
-rw-r--r--    1 0        0               0 Jun 27 09:08 westosfile

[root@localhost mnt]# > /var/log/audit/audit.log   ##警告信息文件
[root@localhost mnt]# cat /var/log/audit/audit.log

在这里插入图片描述

3、Selinux的安全上下文

查看
[root@localhost mnt]# ls -Z /var/ftp/   ##查看文件的安全上下文
unconfined_u:object_r:mnt_t:s0 file1  system_u:object_r:public_content_t:s0 westosfile
system_u:object_r:public_content_t:s0 pub
[root@localhost mnt]# ps axZ | grep vsftpd  ##查看进程的安全上下文 
system_u:system_r:ftpd_t:s0-s0:c0.c1023 1445 ?   Ss     0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf
system_u:system_r:ftpd_t:s0-s0:c0.c1023 1519 ?   Ss     0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf
system_u:system_r:ftpd_t:s0-s0:c0.c1023 1521 ?   S      0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 1526 pts/0 S+   0:00 grep --color=auto vsftpd
## 安全上下文为ftpd_t的程序只能访问public_content_t这样类型的安全上下文的文件
[root@localhost mnt]# mkdir /westos
[root@localhost mnt]# ls -Zd westos/   ##查看目录的安全上下文
unconfined_u:object_r:default_t:s0 /westos
临时修改安全上下文

#此方式更改的安全上下文在selinux重启后会还原
chcon -t 标签 文件|目录
chcon -t public_content_t /var/ftp/westosfile1
chcon -Rt public_content_t /westosdir #修改目录及目录中的所有子文件的安全上下文

[root@localhost mnt]# mkdir /westos
[root@localhost mnt]# ls -Zd /westos/
unconfined_u:object_r:default_t:s0 /westos/
[root@localhost mnt]# chcon -t public_content_t /westos
[root@localhost mnt]# ls -Zd /westos/
unconfined_u:object_r:public_content_t:s0 /westos/
[root@localhost mnt]# touch /.autorelabel    ##重启系统时selinux初始化文件标签开关文件
[root@localhost mnt]# reboot
## 重启后操作
[root@localhost Desktop]# ls -Zd /westos
unconfined_u:object_r:default_t:s0 /westos  ##目录的安全上下文被还原

[root@localhost Desktop]# ls -Z /var/ftp
unconfined_u:object_r:public_content_t:s0 file1      system_u:object_r:public_content_t:s0 westosfile
    system_u:object_r:public_content_t:s0 pub  ##因为/var/ftp目录的安全上下文为public_content_t,故目录内的文件在重启时被初始化为相同的安全上下文。
[root@localhost Desktop]# ls -Zd /var/ftp
system_u:object_r:public_content_t:s0 /var/ftp

在这里插入图片描述

永久修改安全上下文

#如果需要特殊指定安全上下文需要修改内核安全上下文列表
semanage fcontext -l ##查看内核安全上下文列表
semanage fcontext -a -t public_content_t ‘/westosdir(/.*)?’
restorecon -RvvF /westosdir/
touch /.autorelabel ##重启系统时selinux初始化文件标签开关文件

[root@localhost Desktop]# yum install -y policycoreutils-python-utils-2.9-9.el8.noarch
[root@localhost mnt]# ls -Zd /var/ftp              ##查看目录的安全上下文
[root@localhost mnt]# semanage fcontext -l | grep /var/ftp
## 目录本身和内容安全上下文一致
/var/ftp(/.*)?                                     all files          system_u:object_r:public_content_t:s0 
/var/ftp/bin(/.*)?                                 all files          system_u:object_r:bin_t:s0 
/var/ftp/etc(/.*)?                                 all files          system_u:object_r:etc_t:s0 
/var/ftp/lib(/.*)?                                 all files          system_u:object_r:lib_t:s0 
/var/ftp/lib/ld[^/]*\.so(\.[^/]*)*                 regular file       system_u:object_r:ld_so_t:s0 

[root@localhost ~]# mkdir /westos1
[root@localhost ~]# touch /westos1/file{1..5}
[root@localhost ~]# semanage fcontext -l | grep westos1
[root@localhost ~]# semanage fcontext -a -t public_content_t '/westos1(/.*)?'
[root@localhost ~]# semanage fcontext -l | grep /westos1
/westos(/.*)?                                      all files          system_u:object_r:public_content_t:s0 
[root@localhost ~]# restorecon -RvvF /westos1
Relabeled /westos1 from unconfined_u:object_r:default_t:s0 to system_u:object_r:public_content_t:s0
Relabeled /westos1/file1 from unconfined_u:object_r:default_t:s0 to system_u:object_r:public_content_t:s0
Relabeled /westos1/file2 from unconfined_u:object_r:default_t:s0 to system_u:object_r:public_content_t:s0
Relabeled /westos1/file3 from unconfined_u:object_r:default_t:s0 to system_u:object_r:public_content_t:s0
Relabeled /westos1/file4 from unconfined_u:object_r:default_t:s0 to system_u:object_r:public_content_t:s0
Relabeled /westos1/file5 from unconfined_u:object_r:default_t:s0 to system_u:object_r:public_content_t:s0

[root@localhost mnt]# touch /.autorelabel
[root@localhost mnt]# reboot
[root@localhost mnt]# ls -Zd /westos1  ##没变 重新初始化后 其内容的安全上下文被修改 再次重启 还是public
system_u:object_r:public_content_t:s0 /westos1

在这里插入图片描述

4、SEBOOL

[root@server1 ~]# ls -Zd /var/ftp
system_u:object_r:public_content_t:s0 /var/ftp
[root@server1 ~]# ls -Z /var/ftp/
unconfined_u:object_r:public_content_t:s0 file1      system_u:object_r:public_content_t:s0 westosfile
    system_u:object_r:public_content_t:s0 pub

[root@server1 ~]# semanage fcontext -a -t public_content_rw_t '/var/ftp/pub(/.*)?' 
[root@server1 ~]# restorecon -RvvF /var/ftp/pub/   ##安全上下文永久的固定
[root@server1 ~]# ls -Zd /var/ftp/pub/
system_u:object_r:public_content_rw_t:s0 /var/ftp/pub/
[root@server1 ~]# lftp 192.168.0.1 ## 还可以读但不可以上传 
lftp 192.168.0.1:~> ls
-rw-r--r--    1 0        0               0 Jun 29 06:50 file1
drwxrwxr-x    3 0        50             47 Jun 29 06:45 pub
-rw-r--r--    1 0        0               0 Jun 27 09:08 westosfile
lftp 192.168.0.1:/> put /etc/adjtime 
put: /etc/adjtime: Access failed: 553 Could not create file. (adjtime)

[root@server1 ~]# getsebool -a | grep ftp ##查看现实服务的bool值
ftpd_anon_write --> off
[root@server1 ~]# setsebool -P ftpd_anon_write on  #更改
[root@server1 ~]# getsebool -a | grep ftp  
ftpd_anon_write --> on
[root@server1 ~]# lftp 192.168.0.1
lftp 192.168.0.1:~> ls
-rw-r--r--    1 0        0               0 Jun 29 06:50 file1
drwxrwxr-x    3 0        50             47 Jun 29 06:45 pub
-rw-r--r--    1 0        0               0 Jun 27 09:08 westosfile
lftp 192.168.0.1:/> cd pub/
lftp 192.168.0.1:/pub> put /etc/aliases 
1529 bytes transferred   ## 可以上传

5、SEPORT

[root@server1 ~]# vim /etc/httpd/conf/httpd.conf
 Listen 6666
[root@server1 ~]#  systemctl restart httpd  ##selinux开启的情况下不能随意更改端口
Job for httpd.service failed because the control process exited with error code.
See "systemctl status httpd.service" and "journalctl -xe" for details.
[root@server1 ~]# semanage port -a -t http_port_t -p tcp 6666
[root@server1 ~]# semanage port -l | grep http
http_cache_port_t              tcp      8080, 8118, 8123, 10001-10010
http_cache_port_t              udp      3130
http_port_t                    tcp      6666, 80, 81, 443, 488, 8008, 8009, 8443, 9000
pegasus_http_port_t            tcp      5988
pegasus_https_port_t           tcp      5989
[root@server1 ~]# systemctl restart httpd
[root@server1 ~]# netstat -antulp | grep http
tcp6       0      0 :::6666                 :::*                    LISTEN      1514/httpd          
[root@server1 ~]# vim /etc/httpd/conf/httpd.conf
 Listen 80
[root@server1 ~]# systemctl restart httpd

在这里插入图片描述

6、 setrouble

[root@localhost mnt]# yum install -y setroubleshoot-server-3.3.22-2.el8.x86_64 
[root@localhost mnt]# rpm -qa | grep setrouble
setroubleshoot-server-3.3.22-2.el8.x86_64    ##selinux问题解决方案
[root@localhost mnt]# touch /mnt/westosfile3
[root@localhost mnt]# mv /mnt/westosfile3  /var/ftp/
[root@localhost mnt]# > /var/log/messages 
[root@localhost mnt]# lftp 192.168.0.1   ##看不到westosfile3
[root@localhost mnt]# cat /var/log/messages  ##查看解决方法
[root@localhost mnt]# /sbin/restorecon -v /var/ftp/westosfile3  或setsebool -P ftpd_full_access 1
Relabeled /var/ftp/westosfile3 from unconfined_u:object_r:mnt_t:s0 to unconfined_u:object_r:public_content_t:s0
[root@localhost mnt]# lftp 192.168.0.1    ##可以看到
lftp 192.168.0.1:~> ls
-rw-r--r--    1 0        0               0 Jun 29 06:50 file1
drwxrwxr-x    3 0        50             62 Jun 29 08:44 pub
-rw-r--r--    1 0        0               0 Jun 27 09:08 westosfile
-rw-r--r--    1 0        0               0 Jun 29 08:51 westosfile3
lftp 192.168.0.1:/> quit
[root@localhost mnt]# cat /var/log/audit/audit.log	##selinux有警告信息

在这里插入图片描述
在这里插入图片描述

dandan-99
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
selinux安全上下文的管理及布尔值的设置
myhyyyyyy的博客
05-10 1236
selinux安全上下文的管理 1. ls -Z filename #查看文件的安全上下文 chcon -t 2. public_content_t filename #临时更改文件的安全上下文的类型 semanage fcontext -a -t public_content_t '/westos(/.)?’ #永久更改文件的安...
Linux的selinux
lm236236的博客
11-05 180
selinux内核级加强型火墙   文件影响:CONTEXT 安全上下文  必须匹配才能访问 服务影响:getsebool功能开关 先将/etc/sysconfig/relinux文件下的disable改为enforcing,然后reboot重启 selinux设置后必须重启系统 setenforce 0  == 将/etc/sysconfig/relinux文件下的enforcing...
semanage命令详解
热门推荐
Listen2You的博客
10-13 2万+
导读 semanage命令是用来查询与修改SELinux默认目录的安全上下文。SELinux的策略与规则管理相关命令:seinfo命令、sesearch命令、getsebool命令、setsebool命令、semanage命令。下面让我们详细讲解一下chcon命令的使用方法。 语法 semanage {login|user|port|interface|fcontext|
chcon 更改安全上下文 临时更改,永久更改
dreamer_xixixi的博客
05-17 9187
 chcon 改变上下文#change context 1.如何更改安全上下文  1>临时更改  chcon -t 安全上下文  文件  chcon -t public_content_t /publicftp   -R   目录  实验1:  1.rm -fr /var/ftp/* 2.touch /mnt/westos  3.mv /mnt/westos /var/ftp/ ...
centos最最常用的一些操作命令
骑着代码去流浪
07-02 268
更改当前登录用户密码:passwd 更改其他用户密码:passwd 用户名 创建用户并在home创建相关文件夹:useradd worker -d /home/worker -m 查看防火墙:systemctl status firewalld dead表示未开启,running表示开启 开启防火墙:systemctl start firewalld 关闭防火墙:systemctl stop firewalld 查看某个端口是否通过防火墙:firewall-cmd--zone=public..
Linux之父发布新版内核 多项技术调整.pdf
09-06
最近,托沃兹发布了Linux内核的最新版本,这一更新带来了多项重要的技术调整。 在Linux 2.6.23版本,我们可以看到对Sun Microsystems公司的64位Sparc芯片架构进行了优化和支持。Sparc是一种高性能的处理器架构,...
浅谈Linux操作系统安全防范策略.pdf
09-06
为了加强Linux操作系统内核,保护/dev/目录下的文件,可以使用LIDS。它是Linux操作系统内核补丁和系统管理员工具。为了检查系统的日志和文件,查找是否侵入了恶意程序,以及查找相关联的其他恶意程序的信号,可以...
IBM拉开新一代Linux行动序幕.pdf
09-07
同时,IBM也可能加强与Linux社区的合作,共同开发和优化Linux内核,提升系统性能和稳定性。此外,IBM可能会提供专门针对Linux的培训和技术支持服务,帮助客户更好地部署和管理Linux环境。 【Linux操作系统】 Linux...
基于linux服务器集群安全的探讨.pdf
09-06
7. 持续优化:Linux内核不断进行Web服务的优化,如v2.6内核引入NPTL线程库,提高了多线程应用的性能,特别是在SMP环境Linux内核的安全性分析表明,它是集成度最高的内核,包含了各种模块和子系统,如驱动程序...
linux的学习资料
01-17
Linux是开源且免费的操作系统,以其出色的性能、稳定性和安全性被广泛应用于大型项目。...随着Linux的普及和技术进步,其在企业级应用的地位越来越稳固,成为开发者和系统管理员必备的技能之一。
selinux管理与应用
iteye_3782的博客
09-12 482
1.1 SElinux概述 SELinux(Security-Enhanced Linux) 是美国国家安全局(NAS)对于强制访问控 制的实现,在这种访问控制体系的限制下,进程只能访问那些在他的任务所需要文件。大部分使用 SELinux 的人使用的都是SELinux就绪的发行版,例如 Fedora、Red Hat Enterprise Linux (RHEL)、Debian 或 Gentoo...
selinux管理
su_use的博客
05-15 786
一、selinux简介 SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务所需要文件。 selinux内核级加强型防火墙   二、selinux状态控制   1、/et...
SELinux 的基本介绍及用法
awoyaoc的博客
05-14 8315
SELinux 的基本介绍及用法安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统 SELinux 主要作用就是最大限度地减小系统服务进程可访问的资源(最小权限原则)。进行实验时首先 [root@localhost ~]# rm -rf /etc/vsftpd/ [root@localh...
23.Linux内核SELinux简析(简介、安全上下文、SELinux的布尔值、SELinux报错解决)
愿你走出半生,归来仍是少年!
02-19 1744
1.SELinux简介 1)SELinux 全称 Security Enhanced Linux (安全强化 Linux),是美国国家安全局2000年以 GNU GPL 发布,是 MAC (Mandatory Access Control,强制访问控制系统)的一个实现,目的在于明确的指明某个进程可以访问哪些资源(文件、网络端口等)。强制访问控制系统 的用途在于增强系统抵御 0-Day 攻击(利用...
Selinux内核加强型火墙管理
weixin_46492219的博客
08-23 117
一、Selinux的状态与管理 1.1 selinux启动方式 vim /etc/selinux/config selinux=disabled:关闭selinux selinux=enforcing:开机设定为强制状态,此状态下selinux开启 selinux=permissive:开机设定为警告状态,此状态下selinux开启 selinux的开启与关闭需要重启系统才能更改 enforcing:不符合条件一定不允许,并会收到警告消息 permissive:不符合条件的会被允许,并会收到警告信息 se
SELinux完全解读
yonggeit的博客
05-17 3953
selinuxservice enhanced linux 安全增强的Linux CONFIG_SECURITY_SELINUX_POLICYDB_VERSION_MAX is not set 继承了源目录的安全标签 写日志 写入成功 覆盖 安全标签跟当前目录不匹配无法正常写日志 此时网站可访问 网站目录迁移 如果不带属性复制 此时不能访问需要修改安全上下文 此时又可以访问了 此时无法启动端口没在s
Linux从入门到精通——selinux
weixin_30834019的博客
08-12 133
##selinux## 安全增强型linuxselinux是最最全面的的安全系统,所以会对文件和服务有一定的限制。以ftp服务为例:1.环境的设定 因为之前学的是ftp,所以环境会对后面的实验有所影响,要先还原一下 删除 /etc/vsftpd/ 下的所有文件 再reinstall一下vsftpd 再重新启动一下systemctl restart vsftpd 这样环境就...
vsftpd学习笔记
两步一脚印的专栏
11-27 5428
这几天在RHEL6.5下捣腾vsftpd服务,在这里记录下自己碰到的问题和解决方法。 1.  匿名用户上传文件 (1) 修改vsftpd.conf文件,使"write_enable=YES"和"anon_upload_enable=YES" (2) 确保上传目录有写的权限 ftp上传文件出现”vsftpd 553 could not create file”现象,排除不是上面两点引起的,可
linux firewall开放端口_Linux服务器配置-VSFTP服务配置(三)
weixin_39931923的博客
11-25 839
上文:Linux服务器配置-VSFTP服务配置(二)一、vsftpd服务防火墙配置1、主动(POST)模式 FTP 防火墙配置CentOS6 系统 iptables 的配置iptables -t filter --line-number -nL INPUT#显示现有防火墙规则,查看是否开启20、21号端口。iptables -t filter -I INPUT -p tcp -m multipor...
linux内核DRM框架PM电源管理框架代码
最新发布
12-02
根据提供的引用内容,我们可以了解到Linux内核通过module_platform_driver函数注册RK3399 DRM框架驱动代码,而RK3399 DRM框架的platform device和platform driver在Linux内核platform bus的match函数实现匹配。因此,我们可以在Linux内核的源代码查找与PM电源管理框架相关的代码。 在Linux内核的源代码,PM电源管理框架的代码位于drivers/base/power/main.c文件。该文件包含了与设备电源管理相关的函数和结构体定义,例如设备电源状态的定义、设备电源状态的设置和获取函数等。 此外,在Linux内核的源代码,还有一些与PM电源管理框架相关的文件和目录,例如include/linux/pm.h文件和drivers/base/power/目录等。这些文件和目录包含了更多与设备电源管理相关的函数和结构体定义。 因此,如果想要深入了解Linux内核DRM框架PM电源管理框架的代码,可以参考以上提到的文件和目录。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值